Her konunun başlangıcında yaptığım gibi klasik bir hatırlatma yapacağız.

Adli bilişim işleyişinde en çok dikkat edilmesi gereken hususlardan birisi, elde etmek istediğimiz rakam değerli kanıtların zarar görmesine engel olmak ve akabinde adli kopyalarını, başka bir deyiş ile imajlarını almaktır.

İşleyiş devam ederken işlem yapılacak sistemin bulundurduğu sabit disk yada diskleri veya hakkında işlem yapılacak kişinin kullanmış olabileceği harici diskleri bir yazma koruması aracılığı ile kopya alma servisi ile birleştirmeli akabinde kopya alma işlemini sürdürmeliyiz.

Eğer yazma koruması kullanılmıyor ise, bile isteye olmasa da orijinal kanıt işlem esnasında zarar görebilir.

Ve bu esnada zarar görmüş kanıtlar ayırt edilemeyebilir hatta ayırt edilemeyecek durumda olan kanıtların orijinalliği ile ilgili şüphe de oluşabilir.



EnCase tarzında yazma koruması amaçlı uygulamalar mantık olarak yazılımsal ve donanımsal olarak ikiye ayrılırlar.



Çoğunlukla işlem gerçekleştirilecek disklerde donanımsal yazmalar tercih ediliyor olsa da kimi durumlarda yazılımsal yazmaya da başvurmak gerekebilir.

Bu konuda bir yazılımsal yazma koruma amaçlayan EnCase'in FastBlock SE uygulamasına değineceğim. .

Bu uygulama ile bilgisayara USB, FireWire, veya SCSI üzerinden bağlı bulunan disklerde meydana gelecek yazma taleplerini kontrol altında tutabiliyoruz.

Kontrol altında tuttuğumuz için herhangi bir şekilde bilgisayara bağlı disklere yazılmasına da engel oluyoruz.

Uygulama üç çeşit modda çalışma imkanı sağlamaktadır.

Bu modlar şunlardır;



Uygulamayı bu modda yürüttüğümüz halde sisteme bağlı bulunan disklere yapılacak olası bir yazma işleminde yerel bellek çalışmaya başlayacak ve yazma istekleri bu belleğe iletilecektir.

Uygulamanın bu modda yürütülmesi halinde kullanıcıdan yazma talebi alındığında hiçbir hata mesajı belirmez ancak dosyalar üstünde de herhangi bir değişiklik söz konusu değildir.



Bu mod seçiliyken de diske yazılma talebi geldiğinde Windows kullanıcıya bir hata mesajı gönderir ve yazma talebi olumsuz karşılanır.



Bu mod seçiliyken işlem yapılmak istendiği zamanlarda hiçbir yazma koruması sağlanmaz.

FastBlock SE uygulamasını aktif hale getirmeden evvel sistemde incelenecek hiçbir disk takılı olmadığından emin olmak gerekmektedir.

Bu da demektir ki, hiçbir işlem yapmadan önce ilk olarak FastBlock SE'yi aktif hale getirmeliyiz.

Getirebilmek için de EnCase içinden Tools tıklanıp, hemen akabinde FastBlock SE tıklanır.

Ardından vermiş olduğum görsel bizi karşılayacaktır.





Karşılaştığımız kısımda seçeneğimizi Write Blocked olarak işaretleyeceğiz.

Bu kısımın ardından uygulamamız bizim USB, FireWire, ya da SCSI üstünden herhangi bir diski tahsis etmemizi isteyecek.

Kopyasını istediğimiz diski sistemin uygun olan portuna bağlayacağız.

Uygulama işlem yapacağımız diski algıladığı anda Write Blocked seçeneğini kullanılabilir hale getiriyor.

Vereceğim ekran alıntısında bunu daha net şekilde görebilirsiniz.




Bu kısmı da geçip Close işaretine tıkladığımızda bulunan sekmeyi kapatıyoruz.

Uygulama tarafından yazma korumasının doğru şekilde tanımlanıp tanımlanmadığına bakmak için işlem yaptığımız sisteme bağlı diskin kopyasını alabilmek için Add Evidence sekmesini yürüterek yerel disklerin listesinin bulunduğu kısma geliyoruz.

Vereceğim ekran alıntısından da takılı diskin Write Blocked bloğunda aktifleştirilmiş olduğunu görebilirsiniz.

Böylelikle diskte koruma sağlamış oluyoruz.